香港文匯報訊(記者 鄭治祖)由戴妖牽頭組成的「公民聯合行動」,在網絡上舉行所謂「特首選舉民間全民投票」,當中的「PopVote」系統可謂保安漏洞百出,嚴重侵犯投票者私隱,更可能讓有關個人資料外洩,有個別用戶在fb抱怨「被登入」、「被開戶」。多個資訊科技組織早已發出警告,指由於用戶的Telegram數據有洩露的安全風險,建議公眾不要使用該系統。
「自己友」都籲民勿投票
反對派組織「前線科技人員」在「民間特首投票」於2月7日開始的首日即發帖,「呼籲大家暫時不要參與 PopVote 投票」指「有關系統需要取得投票者的 Telegram 認證碼。如果投票者有開啟雙重認證,系統更要求取得密碼。理論上,相關人士可以讀取投票者的 Telegram 內所有message。我們認為這是很嚴重的保安漏洞,在我們取得進一步的澄清之前,我們呼籲各位市民暫時不要參與投票。已參與投票的人,請立即進入 Telegram 並 clear sessions。」
其後,與戴耀廷合作設計該系統的「公民數據」,當時拒絕認錯,聲稱「主辦單位在《個人資料收集聲明》中,已經詳列了 PopVote 系統和主辦單位處理個人資料的範圍和用法。......PopVote 系統絕對不會傳送任何和投票無關的資料至任何地方。」有個別用戶也在fb抱怨,自己的Telegram戶口「被登入」,甚至有沒有戶口者也「被開戶」。
不過,香港電腦保安事故協調中心也發出聲明,指「由於用戶的Telegram數據有洩露的安全風險,建議公眾不要使用該系統,直到安全漏洞被修復 」。
資訊專家:安全底線以下
香港資訊科技商會資訊保安召集人范健文在接受傳媒訪問時也指,由於該系統要求用戶輸入Telegram「雙重認證碼」,而「雙重認證碼」是保安「最後防線」,不應交予第三者,「(安全程度)是在底線以下。」因此,他不建議市民使用有關系統。
為此,「公民數據」不得不小修小補,包括每晚暫停一次系統,從可靠程式碼來源重新灌製程式,確保在系統上程式碼的可靠,及在當眼地方提供資訊,教育用家如何保護自己的 Telegram 戶口免受盜用等。
這種小修小補的動作被包括同路人等鬧爆。「前線科技人員」日前更揭發該系統有新的保安漏洞,指「PopVote」會把用戶的Telegram登入憑證儲存在瀏覽器的本地儲存內,即使重啟電腦亦不會被清除,故有人倘在公用電腦上使用「PopVote」,其他用戶亦可取得有關憑證,登入其Telegram賬戶,存取其通話記錄和收發訊息。
該組織續指,「該系統在客戶端所用的散列算法(hash function)是單純的 SHA256。SHA256 本身是安全的,可是 PopVote 在使用該算法時未有留意輸入的資料本身的組合有限。我們的實驗顯示,根本無需破解散列算法,只需十分鐘就能製作所有香港身份證和電話號碼「散列」的對照表。任何人(包括 PopVote)只須持有該對照表,便能即時解讀任何『散列』所代表的個人資料。」
「前線科技人員」又指,後者「並非安全漏洞」,「可是從 PopVote 的系統設計,以至團隊的對外宣傳當中,顯示出團隊對加密算法的特性以及資訊安全缺乏認知,使我們對 PopVote 團隊是否有能力合理地保障用戶的敏感訊息抱有疑問。」他們再次呼籲市民立即停用該投票系統。